详解Windows Server 2003 Web服务器安全设置

Win 2003 Server 服务器安全设置（七）服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除
C、本地策略——>安全选项
交互式登陆：不显示上次的用户名启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证启用
网络访问：可匿名访问的共享全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户重命名一个帐户。

Windows2003已经出现很久了，现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉，在这里，我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。

Win2003系统已经比Win2K系统增加了很多的安全性，所以现在选择Win2003系统作为服务器系统，将会是网络管理员的最佳选择。

本文假设你是一个服务器管理员，现在你的服务器使用Win2003服务器系统，你的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等）。

一、系统安装注意事项：首先，你得先把你的Win2003系统安装好，在安装系统时请选择使用NTFS文件系统分区，因为该分区可以对你的服务器资源进行加密、权限设置等，如果你的文件系统分区是使用FAT32的话，而你这台服务器作为一台虚拟主机，给客户提供空间，如果客户在空间里传了一个WebShell，如ASP木马等，而你使用的FAT32文件系统却不能为你的文件设置访问权限的话，那么黑客就能通过这个ASP木马取得你的服务器管理权了，那将是没有任何的安全性可言了。

为了系统的安全着想，系统安装好后，你还要给你的系统设置一个强壮的管理员口令，千万不要使用简单的口令，如123456等这样的简单登陆口令。

因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。

一个强壮的口令应该包括数字、英文字母、符号组成，如密码k3d8a^!ka76，设置好一个强壮的系统登陆口令后，我们就可以安装各种上面所述的组件服务支持了。

还是那句老话，最少的服务等于最大的安全，对于一切不须要的服务都不要安装，这样才能保证你服务器的安全性。

图解web服务器安全设置一、系统设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。

然后点击确定—>下一步安装。

（具体见本文附件1）2、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

3、备份系统用GHOST备份系统。

4、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户的安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。

图解Win2003 SP1 下使用SCW配置Web服务器Windows Server 2003是大家最常用的服务器操作系统之一。

虽然它提供了强大的网络服务功能，并且简单易用，但它的安全性一直困扰着众多网管，如何在充分利用Windows Server 2003提供的各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵。

Windows Server 2003 SP1中文版补丁包的发布，恰好解决这个问题，它不但提供了对系统漏洞的修复，还新增了很多易用的安全功能，如安全配置向导（SCW）功能。

利用SCW功能的“安全策略”可以最大限度增强服务器的安全，并且配置过程非常简单，下面就一起来看吧！1．安装SCW，SCW功能虽然已经内置在SP1中，但是必须通过手动安装才能够正常使用。

安装的方法很简单，打开控制面板的添加Windows组件，选中安全配安装SCW置向导然后点下一步就可以完成安装SCW了。

2．启动SCW。

安装完SCW后，单击开始按钮选择程序中的管理工具选择安全配置向导，就可以启动安全配置向导了。

启动安全配置向导安全配置向导的启动界面启动安全配置向导后，点击下一步，就进入安全配置了。

3．在这里我们选择创建新的安全策略，点击下一步。

4．在这里我们选择输入安装计算机的名字Win2003，并单击下一步。

等待计算机完成初始化安全配置数据库，并点击下一步。

务器在网络中所扮演的角色。

单击下一步。

6．根据需要选择web服务器，把其他前面的勾去掉，单击下一步。

7．由于我们只需要web服务，不需要别的客户端功能，所以把所有的勾都去掉。

是服务器安全中很重要的一项，所以我们选中它。

版等等就选中它。

在这里我们选择禁用此服务。

点击下一步。

下一步。

12.下面进入了下一项，就是网络安全的配置。

点击下一步。

点下一步。

口（比如3389）都关闭了。

然后我们就进入下一个配置项目：注册表配置。

15.进入注册表设置了，点击下一步。

一、安装补丁安装好Windows 2003操作系统之后，在托管之前一定要完成补丁的安装，配置好网络后，最好安装上SP1，然后点击开始选择Windows Update，安装所有的关键更新。

二、安装杀毒软件目前的杀毒软件种类很多，其中瑞星、诺顿、卡巴斯基等都是很不错的选择。

不过，也不要指望杀毒软件能够杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置，把服务器上面要用到的服务端口选中，例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389），在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号，如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。

然后点击确定。

注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

1、权限设置的原理1）WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。

在开始→程序→管理工具→计算机管理→本地用户和组，管理系统用户和用户组。

2）NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。

文件（夹）上右键→属性→安全，在这里管理NTFS文件（夹）权限。

3）IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。

2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。

为了确保网站的安全，正确的服务器安全配置是至关重要的。

本文将介绍一些重要的方法和步骤，以帮助您合理地配置和保护您的Web服务器。

1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。

这样可以确保您的服务器是基于最新安全补丁和修复程序运行的，以减少黑客和恶意软件的攻击风险。

2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。

黑客经常利用这些默认配置的弱点，因此应该定制和修改这些配置。

将默认的管理员账户名称和密码更改为强密码，并禁用不必要的服务和插件。

3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输，应该始终使用安全的传输协议，如HTTPS。

HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性，防止数据在传输过程中被黑客窃取或篡改。

4. 创建强大的访问控制使用防火墙和访问控制列表（ACL）来限制对服务器的访问。

只允许必要的IP地址访问您的服务器，并阻止来自已知恶意IP地址的访问。

使用强大的密码策略来保护登录凭证，并定期更改密码。

5. 防御举措采取一些额外的防御措施，例如使用Web应用程序防火墙（WAF）来检测和阻止恶意的HTTP请求。

WAF可以识别和封锁潜在的攻击，如跨站点脚本攻击（XSS）和SQL注入攻击。

6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。

通过监控服务器访问日志和相关指标，可以及时发现潜在的安全问题。

使用入侵检测系统（IDS）和入侵防御系统（IPS）来检测和阻止未经授权的访问和活动。

7. 数据备份和恢复计划及时备份服务器上的所有数据，并设置定期的备份计划。

这样，在服务器遭受攻击或数据丢失时，可以及时恢复数据并最小化损失。

8. 网络分割将Web服务器与其他敏感数据和系统隔离开来，建立网络分割可以减少攻击面，确保一次攻击不会导致整个网络或系统的崩溃。

实验五：web服务器的安全配置实验目的：使同学们掌握windows 2000 sever、windows 2003 sever与IIS共同搭建web服务器的安全设置方案。

一、加强IIS安全的基本设置1.关闭并删除默认站点为了加强安全性我们首先应该关闭并删除IIS默认的各个站点，如默认FTP站点、默认Web站点和管理Web站点。

2.建立自己的站点，与系统不在同一分区例如C:\为系统盘，那么我们建立D:\wwwroot目录，用来存放站点的程序和数据；建立E:\Logfiles 目录，用来存放站点的日志文件，并确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）。

3.删除IIS的部分目录为了加强IIS安全,我们需要删除如下目录：IISHelp，C:\winnt\help\iishelp；IISAdmin，C:\system32\inetsrv\iisadmin；MSADC，C:\Program Files\Common Files\System\msadc\；另外还要删除IIS 的默认安装目录C:\ inetpub。

4.删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp和 .shtm文件。

IIS 接收到这些类型的文件请求时，该调用由DLL处理。

如果所搭建的网站不使用其中某些扩展或功能，则应删除该映射。

步骤如下：打开 Internet 服务管理器：选择计算机名，点鼠标右键，选择属性，选择编辑然后选择主目录，点击配置，选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和，点击删除如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

功能还可以！Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows2003服务器的安全性。

Windows 2003安全设置及分析
曾振河
【期刊名称】《漳州职业技术学院学报》
【年(卷),期】2005(007)002
【摘要】本文是本人使用Windows 2003的过程中有关安全设置的经验总结,内容包括共享设置、服务策略设置、帐号策略设置、本地策略设置、终端服务设置、用户组策略设置、DIY策略设置,以及权限、加密、端口、个人隐私等方面的对策.【总页数】5页(P44-48)
【作者】曾振河
【作者单位】漳州职业技术学院,电子工程系,福建,漳州,363000
【正文语种】中文
【中图分类】TP311.53
【相关文献】
1.Windows Server2003Web服务器安全设置初探 [J], 张振东;鲜坤林
2.windows2003服务器安全设置问题研究 [J],
3.Windows 2003安全设置 [J], 郭振勇
4.加强终端服务的安全——如何在Windows Server 2003中配置终端服务的安全设置 [J], JeffFellinge;肖欣
5.新系统的老问题——全面了解Windows Server 2003系统安全——文件系统的安全设置 [J], 奇奇
因版权原因，仅展示原文概要，查看原文内容请购买。

实验5-Windows-2003-WWW、FTP服务器的配置与管理实验目的本实验旨在让学生通过实现Windows 2003服务器上的WWW、FTP服务的配置和管理，掌握Windows Server的基本操作方法，提高对服务器基本概念的理解。

实验环境•虚拟机软件：VMware Workstation 14 Pro•操作系统：Windows Server 2003 Enterprise Edition实验步骤配置WWW服务1.打开“服务器管理器”，打开“管理控制台”选项卡，选择“添加或删除组件”。

2.在“组件向导”中，选择“Internet 信息服务(IIS)”选项，并确定。

3.在“Searching for Required Files”对话框中，如果需要，可以插入Windows 2003安装光盘。

4.点击“完成”后，IIS将被安装和配置为Windows 2003服务器上的WWW服务。

管理WWW服务1.进入IIS管理界面，在“目录树”中选择“默认网站”。

2.在右侧选择“属性”选项卡，可以设置该网站的基本属性和默认文档。

3.点击“主页”选项卡，可以设置网站的主页信息。

4.点击“虚拟目录”选项卡，可以管理和创建虚拟目录。

5.该网站在IIS中的WWW服务的默认端口为80，修改该端口可以在“WWW服务扩展”中设置。

配置FTP服务1.打开“服务器管理器”，选择“角色”选项卡，点击“添加角色”。

2.在“添加角色向导”中，选择“应用程序服务器”选项，并确定。

3.选择“Internet 信息服务(IIS)”和“FTP服务器”选项，并完成向导。

4.在“FTP站点向导”中，选择“新建FTP站点”，并完成创建。

5.可以在IIS管理界面的“FTP站点”中修改FTP服务的基本设置。

管理FTP服务1.进入IIS管理界面，在“目录树”中选择“默认FTP站点”。

2.在右侧选择“属性”选项卡，可以设置FTP站点的基本属性和连接信息。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

基于Windows2003的校园网Web服务器安全配置技术王杨摘要：对基于Windows Server 2003系统下Web服务器的安全技术研究。

从操作系统本身入手，通过重新规划系统部分默认配置。

提高基Windows2003的校园网Web服务器的安全性。

关键词：web 服务器；安全；IIS；Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础，是学校实现现代化教学的前提，也是保障整个互联网健康发展的一个重要因素。

随着各类黑客工具在网络上的大势传播，Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统，重写了内核代码，使得该系统更稳定、更安全。

以下分别从Windows Server2003 系统配置，IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。

1 Windows Server2003 系统安全配置Web服务器所采用的操作系统，高性能、高可靠性和高安全性是其必备要素。

微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。

1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。

自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。

1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

一．Windows2000 server 的安装，配置安装活动目录（Active Directory）：选择“开始”→“程序”→“管理工具”→“配置服务器”，单击“下一步”。

单击对话框中的“Active Directory”,出现安装向导并由此配置直到安装成功。

创建工作组：启动WIN2000 SERVER，并以系统管理员（administrator）的身份登陆服务器。

选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”，并在其中创建组，在组中加入用户。

添加IIS (Internet信息服务)操作：控制面板→添加/删除程序→添加/删除Windows组件→Internet信息服务→全选二．DNS服务器的配置DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。

用户可以在该向导的指引下创建区域。

第1步，在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮，打开“选择配置操作”向导页。

在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。

第2步，打开“主服务器位置”向导页，如果所部署的DNS服务器是网络中的第一台DNS服务器，则应该保持“这台服务器维护该区域”单选框的选中状态，将该DNS服务器作为主DNS服务器使用，并单击“下一步”按钮第3步，打开“区域名称”向导页，在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“”)，单击“下一步”按钮第4步，在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。

该文件是一个ASCII文本文件，里面保存着该区域的信息，默认情况下保存在“windowssystem32dns”文件夹中。

保持默认值不变，单击“下一步”按钮第5步，在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。

允许动态更新可以让系统自动地在DNS中注册有关信息，在实际应用中比较有用，因此点选“允许非安全和安全动态更新”单选框，单击“下一步”按钮第6步，打开“转发器”向导页，保持“是，应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。

现在说第二篇:注册表修改删除不安全组件禁用无关服务.(1)服务器安全设置篇(3-1) - 入侵方法介绍端口限制磁盘权限设置(2)服务器安全设置篇(3-2) - 注册表修改删除不安全组件禁用无关服务(3)服务器安全设置篇(3-3) - 网站WEB目录权限 SQL SERVER2000设置(4)服务器安全设置篇(3-4) - 备份杀毒审计1注册表是啥东西?注册表包含Windows 在运行期间不断引用的信息，例如，每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已点击"开始" -- "运行" -- "regedit" -- "确定"就可以打开注册表了..(1).关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”(0在十六进制,十进制都是一样)如图:(以下就不做图例了,差不多的.看看也懂.)(2).禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1] (3).禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer”数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareWks”数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect”数据值为“1”2.禁止dump file我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

WIN2003服务器安全加固方案关键词：安全加固方案服务器 WIN2003因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。

但是，IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

二．我们通过一下几个方面对您的系统进行安全加固：1．系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2． IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3．系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

三．系统的安全加固：1．目录权限的配置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM 有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。

2003服务器系统安全配置-中级安全配置！做好此教程的设置可防御一般入侵，需要高级服务器安全维护，请联系我。

我们一起交流一下！做为一个网管，应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵，例如跨站等等！前提，系统包括软件服务等的密码一定要强壮！服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

Windowsserver2003web服务器配置教程步骤1：安装Windows Server 2003首先，您需要安装Windows Server 2003操作系统。

确保您具有适当的许可证，并将光盘插入服务器。

按照屏幕上的提示进行操作，直到安装完成。

步骤2：安装IIS（Internet Information Services）一旦Windows Server 2003安装完成，您需要安装IIS作为Web服务器。

打开“控制面板”，然后选择“添加/删除程序”。

在左侧的“添加/删除Windows组件”中，找到“Internet信息服务（IIS）”并选中它。

点击“下一步”并按照屏幕上的提示进行操作，直到安装完成。

步骤3：配置IIS安装完成后，打开IIS管理器。

在“开始”菜单中找到“管理工具”文件夹，然后选择“Internet信息服务（IIS）管理器”。

在左侧的树状列表中，展开“计算机名”并选择“网站”。

右键单击“默认网站”并选择“属性”。

在属性窗口中，您可以更改默认网站的各种设置。

例如，您可以更改网站的端口号，将其从默认的80更改为其他端口（例如8080）。

您还可以设置主目录，选择将网站文件保存在哪个文件夹中。

步骤4：创建虚拟目录或应用程序池在IIS中，您可以创建虚拟目录来托管网站的文件。

虚拟目录是指一个不同于默认网站文件夹的文件夹。

要创建虚拟目录，右键单击“网站”并选择“新建”>“虚拟目录”。

在虚拟目录创建向导中，您需要提供虚拟目录的别名和路径。

别名是您将在浏览器中使用的URL路径，路径是实际文件夹的位置。

按照向导的指示完成创建虚拟目录的过程。

另一种选择是创建应用程序池。

应用程序池是一组进程，用于托管网站或应用程序。

要创建应用程序池，右键单击“网站”并选择“新建”>“应用程序池”。

提供应用程序池的名称和其他设置，然后单击“确定”。

步骤5：配置安全性在配置Web服务器时，确保设置适当的安全性。